La necesidad de compensar el riesgo empresarial con un seguro no es algo nuevo. Hace cientos de años, los primeros marineros que transportaban sus mercancías por todo el mundo se enfrentaban a importantes riesgos de daños, robos y peligros de muerte. Lloyd's, el mercado de seguros que sigue existiendo hoy en día, empezó siendo un café de Londres, popular entre marineros, armadores y comerciantes ya que allí podían contratar seguros para cubrir sus barcos y cargamentos contra los peligros de los mares.

Hoy en día, los riesgos para las empresas modernas pueden ser en su mayoría menos físicos, pero de igual impacto devastador. Un ciberincidente, por ejemplo, podría ser suficiente para obligar a una empresa a cerrar sus puertas y cesar su actividad.

póliza de seguro contra estos riesgos, que proteja a la organización frente a las pérdidas económicas que puede ocasionar un ciberincidente significativo, como ser un ataque de ransomware

Ciberseguro y ransomware

El número de ciberataques va en aumento, a pesar de la mayor actividad policial y legislativa. Un informe de NetDiligence revela que el ransomware representó el 85% de las reclamaciones de seguros cibernéticos de 2018 a 2022. Y datos de Coalition, una aseguradora estadounidense, afirman que en 2023, el 40% de las empresas que reclamaron en su póliza de seguro de ciberriesgos pagaron la demanda de extorsión.

Las organizaciones están dispuestas a pagar el rescate para mitigar daños mayores. Y, a menudo, pagar el rescate resulta más rentable para la aseguradora, ya que los costes de recuperación suelen ser superiores al coste del rescate. Sin embargo, al conseguir los ciberdelincuentes su objetivo principal de recibir un pago económico, esto hace que los futuros ataques sean más probables y más frecuentes.

Cuando la póliza de seguro cibernético cubre a las empresas en los casos en que una reclamación da lugar a pagos de extorsión a los ciberdelincuentes, existe el argumento de que las aseguradoras que cubren el coste del rescate podrían financiar potencialmente el siguiente ciberataque. Como se ha indicado anteriormente, esto aumenta el riesgo, lo que a su vez obliga a subir las primas. Que yo sepa, no existe ningún otro tipo de seguro en el que la aseguradora financie el pago a los causantes del siniestro, y de futuros siniestros, pagando al pirómano, por así decirlo.

¿Qué determina la asegurabilidad de una organización?

El mercado de seguros se basa en los datos y el conocimiento del riesgo que se asegura. En la mayoría de los mercados de seguros, se dispone de un historial significativo para que un suscriptor tome una decisión informada sobre la probabilidad de que un incidente dé lugar a una reclamación. Aunque el seguro de riesgo cibernético no es nuevo, las aseguradoras han carecido de los datos necesarios para comprender plenamente el riesgo.

El resultado ha sido que se han producido importantes siniestros y que las aseguradoras han tenido pérdidas o han llegado a un punto de equilibrio durante varios años. Solo en los dos últimos años las aseguradoras han vuelto a obtener beneficios de las pólizas de ciberriesgo. Este cambio ha tenido un coste para el asegurado, tanto en el aumento de las primas como en los requisitos de las pólizas.

El mercado de los ciberseguros exige ahora a las empresas que mitiguen el riesgo mediante el despliegue proactivo de tecnologías de ciberseguridad para minimizar el riesgo de ataque. A su vez, esto minimiza el riesgo de reclamaciones contra la aseguradora. Los requisitos varían de una póliza a otra, y cuanto más sólida sea la postura de ciberseguridad, más baja será la prima y más favorables las opciones de cobertura.

¿Qué buscan las ciberseguradoras?

Las tecnologías que buscan las ciberseguradoras incluyen prácticas estándar de ciberseguridad, como procedimientos de copia de seguridad y restauración, así como formación periódica de los empleados en ciberseguridad. Cuando se trata de lo que hace que una perspectiva sea más asegurable, es la adopción de tecnologías avanzadas como la gestión de vulnerabilidades y parches, la segmentación de la red en alineación con los principios de confianza cero, la detección y respuesta de puntos finales (EDR) y el uso de una solución de gestión de eventos de información de seguridad (SIEM).

Para los entornos en los que las empresas no disponen de los conocimientos internos necesarios para gestionar soluciones avanzadas de ciberseguridad, invertir en servicios gestionados como la detección y respuesta gestionadas (MDR) es un enfoque eficaz para reducir significativamente el riesgo. Esto los hace más atractivos para los proveedores de ciberseguros.

La necesidad de que los seguros sean accesibles para todos

El camino para obtener un seguro puede ser complejo y requerir extensos cuestionarios y análisis de la postura de ciberseguridad previos al seguro. Para muchas empresas más pequeñas, esto puede suponer una barrera, provocando una baja aceptación en el mercado por parte de las mismas empresas que probablemente más se beneficiarían de estar aseguradas.

Según NetDilligence, en 2022 el importe medio de una reclamación de seguro por un incidente cibernético fue de unos 180.000 dólares, una cantidad lo suficientemente alta como para causar graves daños a las finanzas de una empresa. El Gobierno británico ha intentado poner el ciberseguro al alcance incluso de las empresas más pequeñas a través de su plan Cyber Essentials, por el que una empresa puede adoptar una postura mínima de ciberseguridad y recibir una certificación con una póliza de seguro contra ciberriesgos de 25.000 libras.

Para las pequeñas y medianas empresas, el problema no es sólo financiero, sino también de recursos. La falta de expertos en ciberrespuesta para hacer frente a las consecuencias de un ciberataque es algo que una póliza de seguro cibernético también puede proporcionar. La aseguradora quiere que la empresa vuelva a funcionar lo antes posible. Proporcionar equipos de expertos para ayudar con una respuesta y recuperación eficientes minimiza las pérdidas financieras, reduciendo así la magnitud de una posible reclamación. Esta cobertura también puede incluir el acceso a asesoramiento jurídico, reduciendo potencialmente las reclamaciones por multas reglamentarias y minimizando las demandas colectivas.

Otras partes afectadas por un ciberataque son los clientes de una empresa, ya sean consumidores u otra empresa. Tienen la expectativa de que sus transacciones y datos compartidos con una empresa sean seguros. Se está convirtiendo en un lugar común en los acuerdos y contratos entre empresas encontrar una cláusula de seguro de ciberriesgo que exija la cobertura de terceros en caso de que se produzca una violación de datos. Una razón más para que las empresas cuenten con un seguro de ciberriesgos si aún no lo tienen.

El seguro de ciberriesgo debería ser la nueva norma

El paso a un entorno más digital que se observa en todo el mundo significa que los ciberataques son una realidad a la hora de hacer negocios hoy en día. Mantener una buena postura de ciberseguridad y compensar el riesgo con una póliza de seguro contra riesgos cibernéticos es ahora un coste de hacer negocios de la misma manera que las empresas se aseguran contra incendios y robos.

Este blog es el primero de una serie que analiza el ciberseguro y su relevancia. En los próximos blogs se profundizará en su gobernanza, legalidades, riesgos futuros y la innegable ventaja empresarial de obtener cobertura cibernética en el actual entorno de riesgo.